将安全存储与 SQL Server 身份验证结合使用
**上一次修改主题:**2017-07-07
**摘要:**在SharePoint Server 2013或SharePoint Server 2016使用安全存储存储 SQL Server 凭据。
可以使用Secure Store Service来存储的数据源的需要SQL Server身份验证凭据。然后可以使用这些凭据来访问要求SQL Server身份验证 (如Azure SQL 数据库) 通过SharePoint Server 2013 中的 Excel Services或Visio Services的数据源。
备注
PerformancePoint Services 不支持使用存储在Secure Store中的 SQL Server 凭据。
建议在Secure Store中存储凭据,而不是在工作簿文件或 Office 数据连接文件中存储凭据。在Secure Store中存储凭据时,它们不是以纯文本格式存储,并且您可以在一个集中的位置管理凭据,这比嵌入到工作簿文件或 ODC 文件的凭据更容易更新。
来访问数据源,通过SQL Server身份验证使用Secure Store与Excel Services或Visio Services ,要求如下:
必须配置包含用于访问数据源的 SQL Server 凭据的Secure Store目标应用程序。
必须配置无人参与服务帐户。
本文中的步骤假定已经部署Secure Store和Excel Services或Visio Services。有关如何部署安全存储、 Excel Services和Visio Services的详细信息,请参阅本文末尾的相关链接。
配置Secure Store目标应用程序
要使用Secure Store进行 SQL Server 身份验证,必须创建一个包含具有数据访问权(通常为 db_datareader 权限)的 SQL Server 登录的目标应用程序。使用以下过程可创建目标应用程序。
对于 SQL Server 身份验证创建目标应用程序
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击 Secure Store Service 应用程序。
在"编辑"选项卡上,单击"新建"。
在"目标应用程序设置"页上:
在"目标应用程序 ID"文本框中键入应用程序 ID。
在"显示名称"文本框中键入显示名称。
在"联系人电子邮件"文本框中键入电子邮件地址。
从"目标应用程序类型"下拉列表中,选择"组"。
单击"下一步"。
在"指定凭据"页上:
将"Windows 用户名"字段名称更改为"用户 ID",将关联的"字段类型"从"Windows 用户名"更改为"用户名"。
将"Windows 密码"字段名称更改为"密码",将关联的"字段类型"从"Windows 密码"更改为"密码"。
单击"下一步"。
在"指定成员资格"页上:
在"目标应用程序管理员"框中,键入要管理此目标应用程序的用户帐户的名称。
在"成员"框中,键入要为其授予数据访问权限的用户或 Active Directory 组的名称,或通过浏览找到这些用户或组。若要为所有用户授予访问权限,请键入"任何人"。
单击"确定"。
在创建目标应用程序后,必须设置目标应用程序的凭据。这是可以访问数据源的 SQL Server 凭据。使用以下过程可设置目标应用程序的凭据。
设置目标应用程序的凭据
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击 Secure Store Service 应用程序。
在安全存储页上,选中为 SQL Server 身份验证创建的目标应用程序的复选框,然后在功能区的"凭据"部分中单击"设置"。
在"用户 ID"文本框中,键入具有数据访问权限的 SQL Server 帐户。
在"密码"和"确认密码"文本框中,键入 SQL Server 帐户的密码。
单击"确定"。
为无人参与服务帐户配置目标应用程序
安全存储用于SQL Server身份验证使用Excel Services或Visio Services ,则需要配置无人参与服务帐户。无人参与服务帐户要求不特定的权限,该方案;它只有在系统中都存在。如果当前未配置无人参与服务帐户,则可以跳过此节中的过程。
备注
您可以确定是否已通过检查Excel Services或Visio Services全局设置中的外部数据设置来配置无人参与的服务帐户。
如果您还没有配置为Excel Services或Visio Services无人参与服务帐户,必须首先可以用作无人参与服务帐户的安全存储区中创建目标应用程序。使用以下过程来创建目标应用程序。
无人参与服务帐户创建目标应用程序
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击 Secure Store Service 应用程序。
在"编辑"选项卡上,单击"新建"。
在"目标应用程序设置"页上:
在"目标应用程序 ID"文本框中键入应用程序 ID。
在"显示名称"文本框中键入显示名称。
在"联系人电子邮件"文本框中键入电子邮件地址。
从"目标应用程序类型"下拉列表中,选择"组"。
单击"下一步"。
在"指定凭据"页上,单击"下一步"。
在"指定成员资格"页上:
在"目标应用程序管理员"框中,键入要管理此目标应用程序的用户帐户的名称。
在成员框中,键入运行Excel Services或Visio Services应用程序池的 Windows 帐户的名称。
单击"确定"。
在创建目标应用程序后,必须将一组 Windows 凭据与其关联。这必须是 Windows 域帐户,但对于此方案不需要任何特定权限。使用以下过程可设置目标应用程序的凭据。
设置目标应用程序的凭据
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击 Secure Store Service 应用程序。
在安全存储页上,选中您为无人参与的服务帐户创建的目标应用程序的复选框,然后在功能区的"凭据"部分中单击"设置"。
在"Windows 用户名"文本框中,键入 Windows 帐户的用户名。
在"Windows 密码"和"确认 Windows 密码"文本框中,键入 Windows 帐户的密码。
单击"确定"。
凭据设置目标应用程序后,请按照Excel Services或Visio Services在以下各节中的无人参与服务帐户配置步骤。
配置 Excel Services (只对SharePoint Server 2013 )
如果使用的是 Excel Services,请使用本节中的过程来完成所需的配置步骤。
如果尚未为 Excel Services 配置无人参与服务帐户,请按照这些步骤来配置它。
配置无人参与服务帐户
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击 Excel Services 服务应用程序。
单击"全局设置"。
在"外部数据"部分中,选择"使用现有的无人参与服务帐户"选项,然后在"目标应用程序 ID"文本框中键入您为无人参与服务帐户创建的目标应用程序的名称。
单击"确定"。
为了能够将 Excel Services 与Secure Store结合使用,必须在将 Excel 工作簿发布到使用 Excel Services 呈现的 SharePoint 网站之前,在 Excel 中指定一个Secure Store目标应用程序。在这种情况下,您必须指定您创建的、包含 SQL Server 登录凭据的Secure Store目标应用程序。
使用以下过程指定 Excel 中的Secure Store目标应用程序。
若要在 Excel 中配置安全存储设置
在 Excel 中的"数据"选项卡上,单击"自其他源",然后单击"自 SQL Server"。
在"连接数据库服务器"页上:
在"服务器名称"文本框中键入要连接的 SQL Server 实例的名称。
选择"使用下列用户名和密码"选项,然后键入可以访问数据源的 SQL Server 帐户的用户名和密码。
单击"下一步"。
在"选择数据库和表"页上,选择要连接的数据库和表,然后单击"下一步"。
在"保存数据连接文件并完成"页上,单击"身份验证设置"。
在"Excel Services 身份验证设置"对话框中,选择"使用存储帐户"选项,键入您创建用于 SQL Server 身份验证的Secure Store目标应用程序的名称,然后单击"确定"。
在"保存数据连接文件并完成"页上,在"文件名"文本框中键入数据连接文件的名称(或保留默认名称),然后单击"完成"。
在"导入数据"对话框中,选择"数据透视表"选项之一,然后单击"确定"。
如果"SQL Server 登录"对话框出现,键入"登录 ID"的密码,然后单击"确定"。
在连接到数据源后,即可完成 Excel 工作簿并将其发布到要通过 Excel Services 呈现的 SharePoint 网站。Secure Store目标应用程序的连接信息仍将嵌入文件中。
备注
Excel 直接连接到数据库。它不使用Secure Store。当从 SharePoint 网站呈现工作簿时,Secure Store仅供 Excel Services 使用。
或者,可以将Secure Store连接信息导出为 ODC 文件,然后使用它将其他 Excel 工作簿连接到同一数据源。这样可轻松管理和分发数据连接。如果要将Secure Store连接导出为 ODC 文件,请使用以下过程。
重要
您必须将 ODC 文件导出到受信任的数据连接库。受信任的数据连接库在 Excel Services 服务应用程序设置中指定。有关详细信息,请参阅管理 Excel Services 受信任数据连接库 (SharePoint Server 2013)。
若要导出的 ODC 文件
在 Excel 中的"数据"选项卡上,单击"连接"。
选择正使用的连接,然后单击"属性"。
在"连接属性"对话框中,单击"定义"选项卡。
在"定义"选项卡上,单击"身份验证设置"。
确认您选择了"使用存储帐户"选项,且在"应用程序 ID:"文本框中指定了正确的安全存储目标应用程序,然后单击"确定"。
单击"导出连接文件"。
导航到 SharePoint 网站上相应的数据连接库,键入文件名,然后单击"保存"。
导出 ODC 文件后,可以选择希望从中连接到该数据源的任何 Excel 工作簿连接该文件。如果数据连接信息发生更改,只需更新 ODC 文件本身,并且引用该文件的所有 Excel 工作簿将具有新连接信息。
备注
必须在 Excel 连接属性中选中"始终使用连接文件"复选框,以确保 Excel 工作簿始终使用该连接文件。
配置 Visio Services
如果您使用的Visio Services,使用本节中的过程完成的必要配置步骤。
如果无人参与服务帐户尚未配置为Visio Services,请按照以下步骤来配置它。
配置无人参与服务帐户
在 SharePoint 管理中心主页上,在"应用程序管理"下单击"管理服务应用程序"。
单击Visio Services服务应用程序。
单击"全局设置"。
在"外部数据"部分的"应用程序 ID"文本框中,键入为无人参与服务帐户创建的目标应用程序的名称。
单击"确定"。
为了使用Secure Store的Visio Services ,必须Visio数据连接向导中指定安全存储目标应用程序并将该连接文件发布到 SharePoint 网站呈现与Visio ServicesVisio图之前导出到SharePoint Server 。在这种情况下,您必须指定Secure Store目标应用程序创建的包含SQL Server的登录凭据。
使用以下过程指定 Visio 中的Secure Store目标应用程序。
若要创建与安全存储目标应用程序使用的数据连接图
在 Visio Professional 2016 中,打开一个关系图或新建一个关系图。
在功能区上单击"数据"选项卡,然后单击"将数据链接到形状"。
在"数据选取器"页上,选择"Microsoft SQL Server 数据库"选项,然后单击"下一步"。
在"连接到数据库服务器"页上,键入您的数据库服务器的名称,选择"使用以下用户名和密码"选项,然后键入您的 SQL Server 用户名和密码。
单击"下一步"。
在"选择数据库和表"页上,选择要连接的数据库,然后单击"下一步"。
在"保存数据连接文件并完成"页上:
单击"身份验证设置"。
在"Visio Services 身份验证设置"对话框中,选择"使用存储的帐户"选项,键入您在"应用程序 ID"文本框中创建的Secure Store目标应用程序的应用程序 ID,然后单击"确定"。
单击"浏览"。
浏览到数据连接库。
备注
Visio Services不需要将 ODC 文件保存到数据连接库。但是,对于最简单的管理,我们建议使用数据连接库来存储您的数据连接文件。
键入 ODC 文件的名称,然后单击"保存"。
单击"完成"。
如果"Web 文件属性"对话框出现,更新"标题" 、"说明"和"关键字" (如果需要),然后单击"确定"。
在"选择数据连接"页上,单击"完成"。
将数据连接到图表中的形状。
当您准备保存绘图时,单击"文件",单击"保存",然后浏览以找到一个 SharePoint 文档库。
键入文件名,然后单击"保存"。
备注
Visio直接连接到数据库。它不使用Secure Store。Secure Store仅由Visio Services呈现从 SharePoint 网站的Visio图时使用。
一旦图表发布到 SharePoint 文档库,可以呈现它使用Visio Services和Visio Services将使用SQL Server凭据存储在Secure Store目标应用程序来刷新图表中的数据。
See also
在 SharePoint Server 中规划 Secure Store Service
在 SharePoint 中配置 Secure Store Service
SharePoint Server 2013 中的 Excel Services 概述
在 SharePoint Server 2013 中管理 Excel Services
在 SharePoint Server 中规划 Visio Services